DEEP#DOOR Python 后门窃取浏览器、云凭证

执行摘要

研究人员披露了一个基于Python的后门框架，被追踪为DEEP#DOOR，它在被入侵的Windows主机上建立持久访问，并系统性地收集浏览器Cookie、保存的凭据和云服务令牌。入侵链始于一个批处理脚本，该脚本禁用Windows安全控制，然后部署后门，后门通过一个合法的隧道服务进行通信，以规避网络检测。发表这些发现的网络安全研究人员拒绝透露用于C2的隧道服务名称。

技术分析

根据研究人员的报告，最初的感染向量是一个名为install_obf.bat的批处理脚本，该脚本执行多个命令来禁用Windows Defender和其他安全机制。然后脚本动态提取并运行一个基于Python的有效载荷，通过计划任务或注册表运行键建立持久性，具体取决于主机配置。

一旦激活，DEEP#DOOR通过一个商业隧道服务连接到远程服务器，该服务提供了一个稳定的、加密的通道，与合法流量混合。后门枚举安装的浏览器——包括Chrome、Firefox、Edge和Brave——并提取存储的密码、Cookie和自动填充数据。它还通过扫描配置文件和缓存的令牌，针对来自AWS、Azure和Google Cloud等提供商的云服务凭据。

数据泄露通过同一隧道连接发生，后门在传输前将被盗文件压缩成归档。研究人员指出，恶意软件使用Python的标准库进行大多数操作，这使得通过基于签名的检测难以识别。隧道服务充当中继，从网络监控工具中隐藏真实的C2服务器IP。

缓解措施与建议

防御者应监控禁用安全服务的批处理脚本的执行，特别是install_obf.bat或类似的文件名。端点检测规则应标记从非标准目录启动的异常Python解释器启动，特别是当随后连接到已知的隧道服务时。组织应强制执行脚本引擎的应用白名单，并限制非管理员用户的PowerShell和cmd.exe执行。云凭据卫生——包括短期令牌和硬件支持的密钥存储——降低了收集的凭据的价值。